Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os Aplicativos de Contêiner do Azure operam no contexto de um ambiente, que executa sua própria rede virtual. À medida que você cria um ambiente, há algumas considerações importantes que informam os recursos de rede de seus aplicativos de contêiner:
Seleção de ambiente
Container Apps tem dois tipos de ambiente diferentes, que compartilham muitas das mesmas características de rede com algumas diferenças importantes.
| Tipo de ambiente | Tipos de planos suportados | Descrição |
|---|---|---|
| Perfis de carga de trabalho | Consumo, Dedicado | Suporta rotas definidas pelo usuário (UDR), saída através do gateway NAT e criação de pontos de extremidade privados no ambiente do aplicativo de contêiner. O tamanho mínimo necessário da sub-rede é /27. |
| Apenas consumo | Consumo | Não suporta rotas definidas pelo utilizador (UDR), saída através do gateway NAT, peering através de um gateway remoto ou outra saída personalizada. O tamanho mínimo necessário da sub-rede é /23. |
Para obter mais informações, consulte Tipos de ambiente.
Tipo de rede virtual
Por padrão, as Aplicações de Contentores são integradas na rede do Azure, que é acessível publicamente pela Internet e só pode comunicar-se com pontos de extremidade da rede acessíveis na Internet. Você também tem a opção de fornecer uma VNet existente quando cria o seu ambiente em vez disso. Depois de criar um ambiente com a rede padrão do Azure ou uma rede virtual existente, o tipo de rede não pode ser alterado.
Use uma VNet existente quando precisar de recursos de rede do Azure como:
- Grupos de Segurança de Rede
- integração Gateway de Aplicação
- Integração com o Firewall do Azure
- Controle sobre o tráfego de saída do seu aplicativo de contêiner
- Acesso a recursos por trás de endpoints privados em sua rede virtual
Se você usar uma rede virtual existente, precisará fornecer uma sub-rede dedicada exclusivamente ao ambiente do Aplicativo de Contêiner implantado. Esta sub-rede não está disponível para outros serviços. Para obter mais informações, consulte Configuração de rede virtual.
Nível de acessibilidade
Você pode configurar se seu aplicativo de contêiner permite a entrada pública ou a entrada somente de dentro de sua rede virtual no nível do ambiente.
| Nível de acessibilidade | Descrição |
|---|---|
| Externa | Permite que seu aplicativo de contêiner aceite solicitações públicas. Os ambientes externos são implantados com um IP virtual em um endereço IP externo voltado para o público. |
| Interno | Os ambientes internos não têm endpoints públicos e são implementados com um IP virtual (VIP) mapeado para um endereço IP interno. O ponto de extremidade interno é um ILB (balanceador de carga interno) do Azure e os endereços IP são emitidos a partir da lista de endereços IP privados da VNet existente. |
Acesso à rede pública
A configuração de acesso à rede pública determina se o ambiente de aplicativos de contêiner é acessível a partir da Internet pública. Se você pode alterar essa configuração depois de criar seu ambiente depende da configuração de IP virtual do ambiente. A tabela a seguir mostra valores válidos para acesso à rede pública, dependendo da configuração de IP virtual do seu ambiente.
| Virtual IP | Acesso à rede pública suportado | Descrição |
|---|---|---|
| Externa |
Enabled, Disabled |
O ambiente de aplicações de contêiner foi criado com um ponto de acesso na Internet. A configuração de acesso à rede pública determina se o tráfego é aceito por meio do ponto de extremidade público ou apenas por meio de pontos de extremidade privados, e a configuração de acesso à rede pública pode ser alterada após a criação do ambiente. |
| Interno | Disabled |
O ambiente de aplicativos de contêiner foi criado sem um ponto de extremidade acessível pela Internet. A configuração de acesso à rede pública não pode ser alterada para aceitar tráfego da Internet. |
Para criar pontos de extremidade privados no seu ambiente de Aplicação de Contentores do Azure, o acesso à rede pública deve ser configurado para Disabled.
As políticas de rede do Azure são suportadas com o sinalizador de acesso à rede pública.
Configuração de entrada
Na seção de ingresso, você pode definir as seguintes configurações:
Ingresso: você pode habilitar ou desabilitar a entrada para seu aplicativo de contêiner.
Tráfego de entrada: você pode aceitar tráfego para seu aplicativo de contêiner de qualquer lugar ou pode limitá-lo ao tráfego de dentro do mesmo ambiente de aplicativos de contêiner.
Regras de divisão de tráfego: você pode definir regras de divisão de tráfego entre diferentes revisões do seu aplicativo. Para obter mais informações, consulte Divisão de tráfego.
Para obter mais informações sobre diferentes cenários de rede, consulte Ingress in Azure Container Apps.
Recursos de entrada
| Característica | Saiba como |
|---|---|
|
Entrada Configurar ingresso |
Controle o roteamento do tráfego externo e interno para seu aplicativo de contêiner. |
| Ingresso Premium | Configure configurações avançadas de ingresso, como suporte de perfil de carga de trabalho para entrada e tempo limite ocioso. |
| Restrições de PI | Restrinja o tráfego de entrada para seu aplicativo de contêiner por endereço IP. |
| Autenticação de certificado de cliente | Configure a autenticação de certificado de cliente (também conhecida como TLS mútuo ou mTLS) para seu aplicativo de contêiner. |
|
Divisão de tráfego Desdobramento azul/verde |
Divida o tráfego de entrada entre as revisões ativas do seu aplicativo de contêiner. |
| Afinidade de sessão | Encaminhe todas as solicitações de um cliente para a mesma réplica do seu aplicativo de contêiner. |
| Compartilhamento de recursos entre origens (CORS) | Habilite o CORS para seu aplicativo de contêiner, que permite solicitações feitas através do navegador para um domínio que não corresponde à origem da página. |
| Roteamento baseado em caminho | Use regras para rotear solicitações para diferentes aplicativos de contêiner em seu ambiente, dependendo do caminho de cada solicitação. |
| Redes virtuais | Configure a VNet para seu ambiente de aplicativo de contêiner. |
| DNS | Configure o DNS para a rede virtual do seu ambiente de aplicativo de contêiner. |
| Ponto final privado | Use um ponto de extremidade privado para acessar com segurança seu Aplicativo de Contêiner do Azure sem expô-lo à Internet pública. |
| Integração com o Azure Front Door | Conecte-se diretamente do Azure Front Door aos seus Aplicativos de Contêiner do Azure usando um link privado em vez da Internet pública. |
Recursos de saída
| Característica | Saiba como |
|---|---|
| Usando o Firewall do Azure | Use o Firewall do Azure para controlar o tráfego de saída do seu aplicativo de contêiner. |
| Redes virtuais | Configure a VNet para seu ambiente de aplicativo de contêiner. |
| Protegendo uma VNet existente com um NSG | Proteja a VNet do seu ambiente de aplicativo de contêiner com um NSG (Network Security Group). |
| Integração de gateway NAT | Use o NAT Gateway para simplificar a conectividade de saída com a Internet em sua rede virtual em um ambiente de perfis de carga de trabalho. |
Tutoriais
| Guia de Aprendizagem | Saiba como |
|---|---|
| Usar uma rede virtual | Use uma rede virtual. |
| Configurar o gateway de aplicativo WAF | Configure um gateway de aplicativo WAF. |
| Habilitar rotas definidas pelo usuário (UDR) | Habilite rotas definidas pelo usuário (UDR). |
| Utilizar Segurança Mutua da Camada de Transporte (mTLS) | Crie um aplicativo mTLS em Aplicativos de Contêiner do Azure. |
| Usar um ponto de extremidade privado | Use um ponto de extremidade privado para acessar com segurança seu Aplicativo de Contêiner do Azure sem expô-lo à Internet pública. |
| Integração com o Azure Front Door | Conecte-se diretamente do Azure Front Door aos seus Aplicativos de Contêiner do Azure usando um link privado em vez da Internet pública. |
Segurança ambiental
Você pode proteger totalmente seu ambiente de perfis de carga de trabalho de tráfego de rede de entrada e saída executando as seguintes ações:
Crie o seu ambiente de aplicativo interno de contêiner num ambiente de perfis de trabalho. Para conhecer as etapas, consulte Gerenciar perfis de carga de trabalho com a CLI do Azure.
Integre as suas aplicações de contentores com um Gateway de Aplicações.
Configure o UDR para rotear todo o tráfego através do Firewall do Azure.
Comportamento do proxy de borda HTTP
Os Aplicativos de Contêiner do Azure usam um proxy HTTP de borda que encerra o TLS (Transport Layer Security) e roteia solicitações para cada aplicativo.
Os aplicativos HTTP são dimensionados com base no número de solicitações e conexões HTTP. O Envoy encaminha o tráfego interno no interior dos clusters.
As conexões downstream suportam HTTP1.1 e HTTP2 e o Envoy deteta e atualiza automaticamente as conexões se a conexão do cliente exigir uma atualização.
As conexões upstream são definidas configurando a propriedade transport no objeto ingress.
Dependências do portal
Para cada aplicativo nos Aplicativos de Contêiner do Azure, há duas URLs.
O tempo de execução dos Aplicativos de Contêiner gera inicialmente um FQDN (nome de domínio totalmente qualificado) usado para acessar seu aplicativo. Consulte a URL da Application na janela Overview da sua aplicação de contentor no portal do Azure para obter o FQDN da sua aplicação de contentor.
Um segundo URL também é gerado para você. Este local concede acesso ao serviço de transmissão de logs e ao console. Se necessário, talvez seja necessário adicionar https://azurecontainerapps.dev/ à lista de permissões do seu firewall ou proxy.
Portas e endereços IP
As portas a seguir são expostas para conexões de entrada.
| Protocolo | Porta(s) |
|---|---|
| HTTP/HTTPS | 80, 443 |
Os endereços IP são divididos nos seguintes tipos:
| Tipo | Descrição |
|---|---|
| Endereço IP de entrada público | Usado para tráfego de aplicativos em uma implantação externa e tráfego de gerenciamento em implantações internas e externas. |
| IP público de saída | Usado como o IP de origem para conexões de saída da rede virtual. Essas conexões não são roteadas por uma VPN. Os IPs de saída podem mudar ao longo do tempo. O uso de um gateway NAT ou outro proxy para tráfego de saída de um ambiente de Aplicativos de Contêiner só é suportado em um ambiente de perfis de carga de trabalho. |
| Endereço IP do balanceador de carga interno | Esse endereço só existe em um ambiente interno. |